上QQ阅读APP看书，第一时间看更新

前言

读者对象

本书的目标读者为有数据通信基础，但需要系统学习安全技术的工程师，包括以下几类读者。

■ 华为防火墙的用户

本书可作为自学用书，帮助华为防火墙用户能够更快地熟悉防火墙，了解防火墙的关键技术原理，掌握防火墙部署技巧，找到解决防火墙问题的思路。

■ ICT从业人员

本书可作为自学用书，帮助ICT从业人员能够更快地熟悉防火墙，了解防火墙的关键技术原理，掌握防火墙部署技巧，找到解决防火墙问题的思路。

本书可作为HCIE安全培训认证参考书，有助于ICT从业人员尽快通过华为认证，提升个人价值。

■ 高校学生

本书可作为计算机通信等相关专业学生的自学参考书。配合eNSP软件，可以帮助学生快速地熟悉防火墙的操作，使学生能更快地积累企业网络实践经验，在今后的职业生涯中有一个更好的起步。

■ 对信息和网络技术感兴趣的爱好者

本书可作为学习信息和网络技术的参考书籍，使爱好者了解华为的产品和技术特点，掌握华为产品和技术的应用，为其进一步的技术研究提供工具和指导。

主要内容

全书共分为两大部分，包括理论篇和实战篇。理论篇共包含10章，介绍了传统防火墙核心功能的原理、应用场景及配置方法；实战篇共包含4个实际案例，采用了先给出场景，再给配置，一边介绍配置一边点评的写作方式，帮助读者充分理解理论应用于实践时的技巧。

理论篇

第1章基础知识

本章介绍了防火墙的定义、发展史和华为防火墙的系列产品，另外还介绍了安全区域的概念、原理、配置方法。安全区域是防火墙产品设计理念的代表，是大家必须先掌握的入门级概念。

第2章安全策略

本章介绍安全策略相关的概念、安全策略发展历史、安全策略配置方法，另外还对ASPF的原理（包括Server-map表）及配置进行了详细的分析。掌握这一章是学习后面所有特性的基础。

第3章攻击防范

本章介绍了单包攻击、流量型攻击的概念，重点介绍了SYN Flood、UDP Flood、DNS Flood、HTTP Flood攻击、防御原理以及常用的防御方法。

第4章 NAT

本章内容分为三个层次。首先介绍了源NAT（包括NAT、NAPT、Easy-IP、Smart NAT、三元组NAT）、NAT Server、NAT ALG等NAT基本技术的原理、应用场景及配置方法；然后介绍了多出口场景下的源NAT、NAT Server，以及双向NAT的应用场景及配置技巧；最后详细分析了NAT场景下黑洞路由的作用，并为感兴趣的读者爆料了NAT地址复用技术的内幕。

第5章 GRE&L2TP VPN

基于Internet的VPN技术五花八门、名目繁多，本书只介绍企业用户使用较多的几种技术。作为专门介绍VPN技术的这一章，先介绍VPN技术的分类、各自的特点以及几种技术的对比，然后再重点介绍GRE和L2TP VPN两种技术的原理、应用场景、配置方法。由于VPN场景下防火墙安全策略配置有些难度，所以在介绍完VPN技术之后再详细讲解一下安全策略的配置思路。

第6章 IPSec VPN

IPSec是融合了加密、验证以及密钥管理算法的隧道技术，非常复杂。本章从最简单的手工方式IPSec VPN开始介绍，把IPSec涉及的各种概念、技术原理，应用场景及配置技巧，由浅入深地推送到读者面前。考虑到配置IPSec容易出现错误，为此本章最后的故障处理一节用于帮助用户调试IPSec VPN。

第7章 DSVPN

DSVPN是采用GRE协议实现的动态VPN技术，本章重点介绍了DSVPN中静态隧道和动态隧道的建立过程，让读者充分感受到DSVPN的优越之处和巧妙之处。

第8章 SSL VPN

SSL VPN是基于HTTPS的VPN，能为用户提供4大功能，包括文件共享、Web代理、端口转发、网络扩展。本章依次介绍SSL握手以及4种功能的基本原理，最后讲解SSL VPN的用户管理（角色授权）方法和4种功能混用时的设计技巧。

第9章双机热备

防火墙双机热备功能是由VRRP、VGMP、HRP三个协议共同实现的，这三个协议是如何配合实现防火墙双机热备功能的呢？为了让广大读者充分领悟其中的奥妙，本章从路由器双机原理开始介绍，说明防火墙的双机热备的高深之处，并且对每个协议的价值及原理按需展开，徐徐渐进，保证大家丝毫没有被填鸭之感。为了让大家能够自如应对复杂的现网场景，本章还特别描述了防火墙旁路场景下的双机热备，NAT和IPSec场景下的双机热备流量分析及配置技巧。最后，本章概要介绍了第三代双机热备的改进点，文字不多但句句切中要害。

第10章出口选路

出口网关是防火墙最常用的场景，此场景要求防火墙必须提供多出口选路的能力。本章介绍了就近选路、策略路由选路、智能选路、DNS选路4种选路方式的配置技巧。有路由知识基础的读者，掌握本章非常容易；缺少路由知识基础的读者也不用担心，防火墙用到的路由知识都比较简单，按本章给出的思路学习是最短路径。

实战篇

第11章防火墙在校园网中的应用

本章介绍了防火墙作为网关部署在校园网出口的方法，为校内用户提供宽带服务，为校外用户提供内网服务器访问。

第12章防火墙在广电网络中的应用

本章介绍了防火墙作为网关双机部署在广电网络的Internet出口的方法，为广电用户提供宽带服务，为内外网用户提供服务器托管业务。

第13章防火墙在体育场馆网络中的应用

本章介绍了防火墙作为网关双机部署在体育场馆网络出口的方法，为内网用户提供上网服务；还介绍了防火墙双机透明部署在内部数据中心网络出口的方法，保护数据中心服务器安全。

第14章防火墙在企业分支与总部VPN互通中的应用

本章介绍了防火墙作为网关部署在企业分支和总部网络出口的方法，为分支和总部之间建立IPSec VPN，保证分支访问总部的数据在Internet上安全传输。

附录

A 报文处理流程

在理论篇中，强叔深入地介绍了安全策略、攻击防范、NAT、VPN、路由等功能的实现原理。读者学习之后会有豁然开朗的感觉，但开朗之后会有一个新的问题提出来——这些功能在防火墙内部的处理顺序是什么？处理顺序是否影响这些功能的配置？回答是肯定的。在多功能综合应用场景下，不了解防火墙报文处理流程的人非常容易遇到一个问题——面对长长的配置脚本找不出问题所在。所以，本章虽然是附录，但是它可以帮助你把前面的内容融会贯通，理清思路，在迷茫时刻能够发现蛛丝马迹、找到处理问题的方向。建议大家务必阅读！

B 证书浅析

IPSec VPN和SSL VPN中都用到了数字证书，强叔在这两章中介绍的生成密钥和证书的方法完全不一样。大家不要太奇怪，看完本章就能找到答案。

C 强叔提问及答案

给出每章的强叔提问的答案。

鸣谢

本书由华为技术有限公司“交换机与企业通信产品线资料开发部防火墙与应用网关资料组”（俗称强叔团队）编写，由人民邮电出版社出版上市。在此期间，培训认证部的领导、资料部领导、防火墙与应用网关产品领导给予了很多的指导、支持和鼓励，人民邮电出版社的编辑给予了严格、细致的审核。在此，诚挚感谢相关领导的扶持，感谢人民邮电出版社各位编辑，以及各位编委的辛勤工作！

以下是本书主创人员的介绍。

徐慧洋，具有十多年数通产品经验，六年防火墙产品经验。曾创作了《USG防火墙IPSec专题》、《华为防火墙双机热备HCIE培训胶片》、《轻松玩转BGP》等广受欢迎的作品，《强叔侃墙》总编。

白杰，具有八年防火墙产品经验，堪称最熟悉华为防火墙的资料开发专家。参与创作《华为网络技术学习指南》，《强叔侃墙》技术贴的主编。

卢宏旺，具有七年华为防火墙产品经验，曾写作《华为防火墙双机热备HCIE实验手册》，《强叔拍案》主编，《小强和小艾台历》主创。

以下是参与本书编写和技术审校人员名单。

主编：徐慧洋、白杰、卢宏旺

编委人员：徐慧洋、白杰、卢宏旺、王蕾、刘水、韩姣、闫广辉、金德胜、惠博、余杨、李苗苗、赵欢

技术审校：徐慧洋、白杰

参与本书编写和审稿的老师虽然有多年ICT从业经验，但因时间仓促，错漏之处在所难免，望读者不吝赐教，在此表示衷心的感谢。读者对于本书有任何意见和建议可以发送邮件至xuhuiyang.xu@huawei.com，或直接登录华为企业论坛“强叔侃墙”汇总贴反馈。